1、構(gòu)建現(xiàn)代安全網(wǎng)絡(luò)銀行,一、網(wǎng)絡(luò)銀行概念,網(wǎng)上銀行,是指利用互聯(lián)網(wǎng)/WWW技術(shù),通過建立互聯(lián)網(wǎng)站點和WEB主頁,為客戶提供有關(guān)銀行業(yè)務(wù)與信息服務(wù)（如提供存貸、電子商務(wù)、帳戶管理）等服務(wù)的各種金融服務(wù)的銀行機構(gòu)。,網(wǎng)上銀行的定義：,網(wǎng)絡(luò)銀行中，用戶通過個人電腦、掌上電腦、手機或者其它數(shù)字終端設(shè)備，采用撥號連接、專線連接、無限連接等方式，登錄互聯(lián)網(wǎng)，享受網(wǎng)上銀行的服務(wù)。,網(wǎng)上銀行,網(wǎng)上銀行提供的金融業(yè)務(wù)大致分為三大類: 信息、查詢和交易,目前，網(wǎng)上銀行已經(jīng)遍布180多個國家，容納了360萬個網(wǎng)絡(luò)，接入了1億多臺電腦，有100多萬信息源，5億多用戶。,網(wǎng)銀操作流程,網(wǎng)上銀行發(fā)展概況,1999年6月，I

2、BM公司的一項統(tǒng)計數(shù)字標(biāo)明， 斯堪的那維亞地區(qū)網(wǎng)上銀行業(yè)務(wù)的發(fā)展在 歐洲處于領(lǐng)先地位。德國1997年開始提供 網(wǎng)上銀行業(yè)務(wù)是目前最大的網(wǎng)上零售國， 隨后，日本、韓國、新加坡也迅速發(fā)展起來。,自1995年世界上第一家網(wǎng)上銀行 美國安全第一網(wǎng)絡(luò)銀行誕生，短短十幾年間， 網(wǎng)上銀行便在世界范圍內(nèi)得到了迅速的發(fā)展。,我國網(wǎng)上銀行的發(fā)展始于1997年,招商銀行率先推出網(wǎng)上銀行,接著中國工商銀行、中國建設(shè)銀行、交通銀行、中國銀行、中國農(nóng)業(yè)銀行等也紛紛開通網(wǎng)上支付業(yè)務(wù)。,網(wǎng)銀國內(nèi)外發(fā)展?fàn)顩r,起初在 美國,其他國家發(fā)展?fàn)顩r,我國發(fā)展?fàn)顩r,網(wǎng)上銀行發(fā)展概況,二、網(wǎng)銀安全現(xiàn)狀,國外網(wǎng)絡(luò)銀行受到攻擊的典型案例,花旗銀

3、行網(wǎng)站遭遇黑客，20萬信用卡用戶信息被盜；,韓國農(nóng)協(xié)銀行遭遇攻擊導(dǎo)致系統(tǒng)長時間癱瘓及大量交易數(shù)據(jù)丟失；,94年末，俄羅斯黑客弗拉基米爾利文與其伙伴從圣彼得堡的一家小軟件公司的聯(lián)網(wǎng)計算機上，向美國CITYBANK銀行發(fā)動了一連串攻擊，通過電子轉(zhuǎn)帳方式，從CITYBANK銀行在紐約的計算機主機里竊取1100萬美元。,國外網(wǎng)絡(luò)銀行受到攻擊的典型案例,2000年2月6日前后，美國YAHOO等8家大型網(wǎng)站接連遭受黑客的攻擊，直接經(jīng)濟損失約為12億美元；,國際知名黑客-凱文米特尼克,凱文米特尼克是美國20世紀(jì)最 著名的黑客之一，他是“社會工 程學(xué)”的創(chuàng)始人。 1979年他和他的伙伴侵入了北美 空防指揮部1

4、983年的電影戰(zhàn)爭 游戲演繹了同樣的故事，在片 中，以凱文為原型的少年黑客幾 乎引發(fā)了第三次世界大戰(zhàn)。,著名病毒-莫里斯蠕蟲（Morris Worm）,時間-1988年 肇事者-Robert T. Morris , 美國康奈爾 大學(xué)學(xué)生，其父是美國國家安全局安全專家。 機理-利用sendmail, finger 等服務(wù)的漏 洞，消耗CPU資源，拒絕服務(wù)。 影響Internet上大約6000臺計算機感染， 占當(dāng)時Internet 聯(lián)網(wǎng)主機總數(shù)的10%，造成 9600萬美元的損失。 CERT/CC的誕生DARPA成立CERT（Computer Emergency Response Team），以應(yīng)

5、付類似 “蠕蟲（Morris Worm）”事件,國內(nèi)網(wǎng)絡(luò)銀行受到攻擊的典型案例,2004年至2005年兩年間,電腦高手劉某利用木馬軟件7次作案，破解網(wǎng)上銀行，盜竊3萬元.,2006年04月5月,北京地區(qū)使用工商銀行網(wǎng)上銀行的客戶,陸續(xù)有人發(fā)現(xiàn)自己賬戶中的存款被人轉(zhuǎn)移到陌生賬號上,被盜金額從幾百到一萬不等. 黑客使用偽造的工商銀行的假網(wǎng)站,用戶登錄假網(wǎng)站后,網(wǎng)站的病毒程序會將盜竊來的賬號密碼發(fā)到指定的郵箱.,國內(nèi)網(wǎng)絡(luò)銀行受到攻擊的典型案例,江蘇21歲的大專生汪某，利用把淘寶網(wǎng)會員號借給網(wǎng)友購物之機，暗中記下網(wǎng)友的網(wǎng)絡(luò)銀行卡號，套走存款3177元；,甘肅王某趁公司演示網(wǎng)上銀行業(yè)務(wù)，快速地記公司賬號

6、及網(wǎng)上銀行客戶卡密碼。并找機會將12萬元資金劃撥到了其事先開立的“楚鑫”賬戶上；,哈爾濱市某高校名大學(xué)生利用網(wǎng)上銀行轉(zhuǎn)賬，盜取哈爾濱工商銀行多個儲蓄所萬余元巨款；,國內(nèi)網(wǎng)絡(luò)銀行受到攻擊的典型案例,2004年10月，三名犯罪分子從網(wǎng)上搜尋某銀行儲蓄卡卡號，然后登陸該銀行網(wǎng)上銀行網(wǎng)站，嘗試破解弱口令，并屢屢得手；,2005年7月，某市一17歲在校生劉某，利用互聯(lián)網(wǎng)傳播“網(wǎng)銀大盜”木馬程序，盜取了134個網(wǎng)民的銀行賬號和密碼，并將他人銀行賬戶上的錢款轉(zhuǎn)到自己的賬戶中，先后共盜取他人存款5萬余元；,國內(nèi)網(wǎng)絡(luò)銀行受到攻擊的典型案例,貴州11歲兒童在網(wǎng)上購買了專門用于套取工行銀行網(wǎng)上銀行個人賬戶和密碼的假

7、冒網(wǎng)址，并冒充工行網(wǎng)上客戶服務(wù)人員，以幫助李某某解決網(wǎng)上銀行不能登錄問題為由，騙取信任后讓李某某在自己購買的中國工商銀行假冒網(wǎng)站上填寫銀行賬戶相關(guān)信息進行網(wǎng)上銀行卡的升級，從而盜取了李某某的工行個人網(wǎng)上銀行賬號及密碼。,17,荊州人趙蓉的網(wǎng)上銀行帳戶上的資金被劃走 ： 2004年7月，黑龍江人付某使用了一種木馬程序，掛在自己的網(wǎng)站上； 荊州人趙蓉下載付某的軟件，木馬就“進入”電腦 ； 屏幕上敲入的信息通過郵件發(fā)出：賬戶、密碼； 付某成功劃出1萬元； 抓獲付某時，他已獲取7000多個全國各地儲戶的網(wǎng)上銀行密碼。,利用木馬進行攻擊,安全事件：,付某：,三、網(wǎng)銀典型網(wǎng)絡(luò)犯罪工具,網(wǎng)絡(luò)銀行受到攻擊的典

8、型案例,網(wǎng)銀大盜,灰鴿子,釣魚網(wǎng)站,網(wǎng)銀安全現(xiàn)狀,不法分子在向木馬作者繳納一定注冊費后（費用標(biāo)準(zhǔn)與所選擇的功能掛鉤），再填入收取所盜網(wǎng)銀帳號密碼的FTP服務(wù)器地址，便可以生成專為自己進行網(wǎng)銀盜號的木馬。它所生成的木馬無論通過何種形式傳播，盜取的網(wǎng)銀帳號和密碼都會自動發(fā)送到不法分子指定的服務(wù)器中,網(wǎng)銀大盜,網(wǎng)銀安全現(xiàn)狀,網(wǎng)銀大盜生成器,灰鴿子,灰鴿子-遠(yuǎn)程控制木馬的控制界面，不法分子可以對中招機器進行的操作包括：文件管理、獲取系統(tǒng)信息、剪貼板查看、進程管理、窗口管理、鍵盤記錄、服務(wù)管理、共享管理，捕獲屏幕，視頻監(jiān)控，音頻監(jiān)控可以說，用戶在本地能看到的信息，使用灰鴿子遠(yuǎn)程監(jiān)控也能看到。如果用戶在電

9、腦上進行網(wǎng)上銀行交易，則遠(yuǎn)程屏幕監(jiān)控容易暴露用戶的帳號，再加上鍵盤監(jiān)控，用戶的密碼也岌岌可危。,網(wǎng)銀安全現(xiàn)狀,灰鴿子,網(wǎng)銀安全現(xiàn)狀,在觀察一個偽造工行網(wǎng)銀支付界面的釣魚網(wǎng)頁時，通過地址欄可以看到，它的URL（網(wǎng)頁地址）與正當(dāng)工行支付網(wǎng)頁的URL（網(wǎng)頁地址）完全不同，這也是當(dāng)前常見的網(wǎng)銀盜竊手段，即不法分子利用各類誘惑信息欺騙網(wǎng)銀用戶首先進行一個小額支付（通常為1元），發(fā)來的鏈接卻是釣魚網(wǎng)頁，以此偷取受害用戶的網(wǎng)銀信息,釣魚網(wǎng)站,網(wǎng)銀安全現(xiàn)狀, ,網(wǎng)銀安全現(xiàn)狀, ,另類釣魚網(wǎng)站-中獎（,另類釣魚網(wǎng)站-中獎,另類釣魚網(wǎng)站-中獎,三、網(wǎng)銀安全措施現(xiàn)狀,網(wǎng)上銀行登錄主要認(rèn)證方式介紹,一、數(shù)字證書（私鑰

10、）認(rèn)證方式1、存放在電腦中2、存放在USB KEY中 二、動態(tài)口令（一次性口令）認(rèn)證方式1、口令卡2、認(rèn)證令牌3、手機動態(tài)密碼 三、雙渠道交易確認(rèn)方式,網(wǎng)上銀行認(rèn)證方式,一、數(shù)字證書（私鑰）認(rèn)證方式（第三方：CFCA） 目前正在使用CFCA提供的證書的銀行有： 中國工商銀行中國農(nóng)業(yè)銀行中國建設(shè)銀行 交通銀行中信銀行中國光大銀行 華夏銀行中國民生銀行廣東發(fā)展銀行 深圳發(fā)展銀行上海浦東發(fā)展銀行興業(yè)銀行 其他銀行（50家以上） 二、手機動態(tài)密碼認(rèn)證方式,網(wǎng)上銀行多重安全防范措施,1、CFCA數(shù)字證書認(rèn)證/USB KEY 固態(tài)證書載體 2、動態(tài)密碼保護 3、雙重密碼保護 4、及時語短信提醒 5、交易限

11、額設(shè)置,客戶申請成為我行個人網(wǎng)銀的數(shù)字證書用戶后，我行即頒發(fā)唯一標(biāo)志此用戶的數(shù)字證書，供客戶裝載到計算機里，或者裝在形似小優(yōu)盤的USBKey中隨身攜帶。 當(dāng)客戶進行網(wǎng)上銀行操作時，證書會幫助我行認(rèn)證客戶的身份，防止他人偽冒客戶身份。 對交易信息進行加密，使他人無法破解客戶和我行互相傳遞的信息。 對交易信息進行數(shù)字簽名，使他人無法篡改交易信息。,網(wǎng)上銀行多重安全防范措施,1、CFCA數(shù)字證書認(rèn)證/USB KEY 固態(tài)證書載體 2、動態(tài)密碼保護 3、雙重密碼保護 4、及時語短信提醒 5、交易限額設(shè)置,客戶登錄網(wǎng)銀或進行匯款、支付等關(guān)鍵交易時，我行會向其預(yù)留的手機上發(fā)送短信，告知客戶一個隨機生成、一

12、次有效的動態(tài)密碼，這樣一來，即使他人竊取了客戶的卡號、密碼等信息，甚至截取了以前的動態(tài)密碼，也無法冒名使用網(wǎng)銀，盜用資金。 動態(tài)密碼中包含用戶所進行的交易中的收款賬號、交易金額等敏感信息，供用戶核對，防止黑客的“中間人攻擊”。 動態(tài)密碼的短信發(fā)送號碼為95528。 動態(tài)密碼如沒有收到，相關(guān)頁面上均有“重發(fā)動態(tài)密碼”按鈕，客戶點擊便可重獲動態(tài)密碼，可重獲兩次動態(tài)密碼。,網(wǎng)上銀行多重安全防范措施,1、CFCA數(shù)字證書認(rèn)證/USB KEY 固態(tài)證書載體 2、動態(tài)密碼保護 3、雙重密碼保護 4、及時語短信提醒 5、交易限額設(shè)置,用戶使用查詢密碼登錄網(wǎng)銀，若使用初始密碼登錄，系統(tǒng)將強制用戶修改查詢密碼，

13、此后方可登錄，查詢密碼與客戶號相關(guān)聯(lián)。 交易密碼用于資金交易、預(yù)約交易、重要信息修改等，交易密碼與具體某張憑證相關(guān)聯(lián) 查詢密碼連續(xù)輸錯3次，系統(tǒng)自動將該客戶鎖定一段時間 交易密碼連續(xù)輸錯3次，需到柜面解鎖,網(wǎng)上銀行多重安全防范措施,1、CFCA數(shù)字證書認(rèn)證/USB KEY 固態(tài)證書載體 2、動態(tài)密碼保護 3、雙重密碼保護 4、及時語短信提醒 5、交易限額設(shè)置,資金變動 即時發(fā)送 投資信息 理財助理 接收設(shè)置 個性選擇 開通方便 收費低廉 通知方式 多樣選擇,網(wǎng)上銀行多重安全防范措施,1、CFCA數(shù)字證書認(rèn)證/USB KEY 固態(tài)證書載體 2、動態(tài)密碼保護 3、雙重密碼保護 4、及時語短信提醒

14、5、交易限額設(shè)置,客戶可個性化設(shè)置單筆、單日累計的對外轉(zhuǎn)賬、支付限額 單日對外轉(zhuǎn)賬支付限額小于等于單日累計對外轉(zhuǎn)賬支付限額 單筆、單日累計的對外轉(zhuǎn)賬支付限額不包含銀證轉(zhuǎn)賬、基金買賣、外匯買賣、活轉(zhuǎn)活、活轉(zhuǎn)定等客戶本人名下資產(chǎn)劃轉(zhuǎn) 動態(tài)密碼用戶的單日累計對外轉(zhuǎn)賬支付限額不超過20萬元 數(shù)字證書用戶的單日累計對外轉(zhuǎn)賬支付限額無上限,數(shù)字證書版,瀏覽器證書,USBKEY固態(tài)證書,數(shù)字證書： 浦發(fā)網(wǎng)上銀行專業(yè)版采用由國內(nèi)獨立權(quán)威機構(gòu)頒發(fā)的、符合國際標(biāo)準(zhǔn)（X.509）的數(shù)字證書。而且，我們的客戶可以根據(jù)自己上網(wǎng)的條件，自由選擇瀏覽器證書或移動證書。,動態(tài)密碼： 每次交易時，浦發(fā)銀行向您綁定的手機號碼上發(fā)

15、送一個6位字符的隨機密碼，用于當(dāng)前交易使用,數(shù)字證書、動態(tài)密碼怎么選？,什么是動態(tài)密碼? 每次交易時，浦發(fā)銀行向您綁定的手機號碼上發(fā)送一個6位字符的隨機密碼，用于當(dāng)前交易使用。 什么是取款密碼? 凡是需要變更銀行賬戶資金的交易所需要使用的密碼。如ATM取款密碼，刷卡消費用的密碼，一卡一密。 什么是查詢密碼? 只進行賬戶余額查詢的密碼，如登錄網(wǎng)上銀行的密碼，登錄電話銀行的密碼。本人名下所有的銀行卡、存折都用同一個查詢密碼，初始密碼6個8,1、打開網(wǎng)頁，點擊左上角“首次登陸”：,2、閱讀責(zé)任條款，并點擊“接受”：,3、選擇“證件類型”，輸入“證件號碼”，點擊“確定”：,4、點擊“確定”：,5、輸入

16、“動態(tài)密碼”（步驟四結(jié)束后，手機收到短信中顯示），點擊“確定”：,6、輸入“交易密碼”（交易密碼：即取款密碼），點擊“確定”：,7、首次登陸完畢，顯示一下畫面，點擊“動態(tài)密碼用戶登陸”：,請記錄客戶號,動態(tài)密碼版網(wǎng)上銀行登錄演示,浦發(fā)銀行網(wǎng)址： 浦發(fā)銀行網(wǎng)上銀行網(wǎng)址：,五、網(wǎng)銀安全漏洞分析,TCP/IP體系結(jié)構(gòu),TCP/IP體系結(jié)構(gòu),網(wǎng)絡(luò)層的安全漏洞主要原因,IP協(xié)議設(shè)計中的錯誤和疏忽使得網(wǎng)絡(luò)先天不足，為黑客攻擊提供了條件。例如，IEEE802.11b 中出現(xiàn)的WEP漏洞。,TCP/IP協(xié)議缺乏相應(yīng)的安全機制，且IP網(wǎng)最初設(shè)計基本沒有考慮安全問題等等都使得網(wǎng)絡(luò)存在先天不足。,隨著網(wǎng)絡(luò)系統(tǒng)規(guī)模的

17、增大，各種系統(tǒng)軟件、應(yīng)用軟件變得越來越復(fù)雜，網(wǎng)絡(luò)設(shè)備廠商、集成商和運營商的網(wǎng)絡(luò)系統(tǒng)軟件在開發(fā)和實現(xiàn)過程中不可避免的會出現(xiàn)各種缺陷和漏洞。,網(wǎng)絡(luò)層的主要攻擊,A攻擊的位置 （1）遠(yuǎn)程攻擊 （2）本地攻擊 （3）偽遠(yuǎn)程攻擊,B攻擊的深度 （1）表層攻擊 （2）讀訪問 （3）非根式的寫與執(zhí)行訪問 （4）根式的寫和執(zhí)行訪問,C攻擊的層次 （1）簡單拒絕服務(wù)； （2）本地用戶獲得非授權(quán)讀權(quán)限； （3）本地用戶獲得非授權(quán)寫權(quán)限； （4）遠(yuǎn)程用戶獲得非授權(quán)帳號信息； （5）遠(yuǎn)程用戶獲得特權(quán)文件的讀權(quán)限； （6）遠(yuǎn)程用戶獲得特權(quán)文件的寫權(quán)限； （7）遠(yuǎn)程用戶擁有了系統(tǒng)管理員權(quán)限。,網(wǎng)絡(luò)層的主要攻擊,網(wǎng)絡(luò)層的主

18、要攻擊,D攻擊分類 在最高層次，攻擊被分為兩類： （1）主動攻擊：包含攻擊者訪問他所需要信息的故意行為。主動攻擊包括拒絕服務(wù)攻擊、信息篡改、資源使用、欺騙等攻擊方法。 （2）被動攻擊：主要是收集信息而不是進行訪問，數(shù)據(jù)的合法用戶對這種活動一點也不會覺察到。被動攻擊包括嗅探、信息收集等攻擊方法。,網(wǎng)絡(luò)層的主要攻擊,圖 攻擊分類,鍵擊記錄：是植入操作系統(tǒng)內(nèi)核的隱蔽軟件，通常實現(xiàn)為一個鍵盤設(shè)備驅(qū)動程序，能夠把每次鍵擊都記錄下來，存放到攻擊者指定的隱藏的本地文件中。如PCAgent等。 網(wǎng)絡(luò)監(jiān)聽：是攻擊者一旦在目標(biāo)網(wǎng)絡(luò)上獲得一個立足點之后刺探網(wǎng)絡(luò)情報的最有效方法，通過設(shè)置網(wǎng)卡的混雜模式獲得網(wǎng)絡(luò)上所有的

19、數(shù)據(jù)包，并從中抽取安全關(guān)鍵信息，如明文方式傳輸?shù)目诹?。如Win32平臺下的sniffer等免費工具，Unix平臺下的libpcap網(wǎng)絡(luò)監(jiān)聽工具庫。 非法訪問數(shù)據(jù)：是攻擊者或內(nèi)部人員違反安全策略對其訪問權(quán)限之外的數(shù)據(jù)進行非法訪問。 獲取密碼文件：攻擊者進行口令破解獲取特權(quán)用戶或其他用戶口令的必要前提。,常見的網(wǎng)絡(luò)攻擊,1）竊聽：指攻擊者通過非法手段對系統(tǒng)活動的監(jiān)視從而獲得一些安全關(guān)鍵信息。目前屬于竊聽技術(shù)的常用攻擊方法有：,常見的網(wǎng)絡(luò)攻擊,2）欺騙：指攻擊者通過冒充正常用戶以獲取對攻擊目標(biāo)訪問權(quán)或獲取關(guān)鍵信息的攻擊方法，屬于此類攻擊的方法有：,獲取口令：通過缺省口令、口令猜測和口令破解三種途徑。

20、針對一些弱口令進行猜測。也可以使用專門的口令猜測工具進行口令破解，如遍歷字典或高頻密碼列表從而找到正確的口令。如Win32平臺的LOphtcrack等。 惡意代碼：包括特洛伊木馬應(yīng)用程序、郵件病毒、網(wǎng)頁病毒等，通常冒充成有用的軟件工具、重要的信息等，誘導(dǎo)用戶下載運行或利用郵件客戶端和瀏覽器的自動運行機制，在啟動后悄悄安裝惡意程序，通常為攻擊者給出能夠完全控制該主機的遠(yuǎn)程連接。 網(wǎng)絡(luò)欺騙：攻擊者通過向攻擊目標(biāo)發(fā)送冒充其信任主機的網(wǎng)絡(luò)數(shù)據(jù)包，達(dá)到獲取訪問權(quán)或執(zhí)行命令的攻擊方法。具體的有IP欺騙、會話劫持、ARP重定向和RIP路由欺騙等。,常見的網(wǎng)絡(luò)攻擊,3）拒絕服務(wù)：指終端或者完全拒絕對合法用戶、

21、網(wǎng)絡(luò)、系統(tǒng)和其他資源的服務(wù)的攻擊方法，其意圖就是徹底破壞，這也是比較容易實現(xiàn)的攻擊方法。特別是分布式拒絕服務(wù)攻擊對目前的互聯(lián)網(wǎng)構(gòu)成了嚴(yán)重的威脅，造成的經(jīng)濟損失也極為龐大。拒絕服務(wù)攻擊的類型按其攻擊形式分為：,導(dǎo)致異常型：利用軟硬件實現(xiàn)上的編程缺陷，導(dǎo)致其出現(xiàn)異常，從而使其拒絕服務(wù)。如Ping of Death攻擊等。 資源耗盡型：通過大量消耗資源使得攻擊目標(biāo)由于資源耗盡不能提供正常的服務(wù)。視資源類型的不同可分為帶寬耗盡和系統(tǒng)資源耗盡兩類。 帶寬耗盡攻擊的本質(zhì)是攻擊者通過放大等技巧消耗掉目標(biāo)網(wǎng)絡(luò)的所有帶寬，如Smurf攻擊等。 系統(tǒng)資源耗盡型攻擊指對系統(tǒng)內(nèi)存、CPU或程序中的其他資源進行消耗，使

22、其無法滿足正常提供服務(wù)的需求。如Syn Flood攻擊等。 欺騙型：ARP拒絕服務(wù)攻擊,D 62,DoS攻擊、DDOS攻擊,ACK 拒絕服務(wù)攻擊； SYN 攻擊； Land 攻擊； Tear Drop 攻擊； 會話劫持攻擊； Jolt 攻擊； Bloop 攻擊； Cpd 攻擊； Targa 攻擊； Twinge 攻擊； 小型 PMTU 攻擊； ,常見的網(wǎng)絡(luò)攻擊,4）數(shù)據(jù)驅(qū)動攻擊：通過向某個程序發(fā)送數(shù)據(jù)，以產(chǎn)生非預(yù)期結(jié)果的攻擊，通常為攻擊者給出訪問目標(biāo)系統(tǒng)的權(quán)限，大致可分為：,緩沖區(qū)溢出：通過往程序的緩沖區(qū)寫入超出其邊界的內(nèi)容，造成緩沖區(qū)的溢出，使得程序轉(zhuǎn)而執(zhí)行其他攻擊者指定的代碼，通常是為攻擊

23、者打開遠(yuǎn)程連接的ShellCode，以達(dá)到攻擊目標(biāo)。如Windows平臺下的Code-Red、Blaster、Sasser等都是通過緩沖區(qū)溢出攻擊獲得系統(tǒng)管理員權(quán)限后進行傳播。 格式化字符串攻擊：主要是利用由于格式化函數(shù)的微妙程序設(shè)計錯誤造成的安全漏洞，通過傳遞精心編制的含有格式化指令的文本字符串，以使目標(biāo)程序執(zhí)行任意命令。 輸入驗證攻擊：針對程序未能對輸入進行有效的驗證的安全漏洞，使得攻擊者能夠讓程序執(zhí)行指令的命令。最著名的是1996年的PHF攻擊。 同步漏洞攻擊：利用程序在處理同步操作時的缺陷，如競爭狀態(tài)、信號處理等問題，以獲得更高權(quán)限的訪問。 信任漏洞攻擊：利用程序濫設(shè)的信任關(guān)系獲取訪問

24、權(quán)的一種方法，如Win32平臺下互為映象的本地和域Administrator憑證、LSA密碼等。,1）想要在別人面前炫耀自己的技術(shù)，如進入別人的電腦去修改一個文件或目錄名。 2）惡作劇、練功，這是許多人或?qū)W生入侵或破壞的最主要原因，除了有練功的效果外還有些許網(wǎng)絡(luò)探險的感覺。 3）竊取數(shù)據(jù)，可能是偷取硬盤中的文件或各種上網(wǎng)密碼，然后從事各種商業(yè)應(yīng)用。 4）想復(fù)仇的事后報復(fù)者，如對老板或公司制度不滿，事先把報復(fù)程序或病毒程序?qū)懭胨幊绦?，并?guī)定在將來某時，或某條件下激活發(fā)作，摧毀原公司網(wǎng)絡(luò)系統(tǒng)。 5）修改或者刪除重要數(shù)據(jù)，達(dá)到商業(yè)利益或個人利益。,黑客為什么要攻擊？,黑客攻擊流程,攻擊的典型過程,

25、網(wǎng)絡(luò)層的主要攻擊-信息收集,信息收集非技術(shù)手段 1）合法途徑 從目標(biāo)機構(gòu)的網(wǎng)站獲取 新聞報道，出版物 新聞組或論壇 2）社會工程手段 假冒他人，獲取第三方的信任 3）搜索引擎,網(wǎng)絡(luò)層的主要攻擊-信息收集,1）在Google的搜索關(guān)鍵字“intitle:”WJ-NT104 Main Page”，即可找到很多網(wǎng)絡(luò)攝像頭。 如：0/,2）域搜索是在指定的一個網(wǎng)域內(nèi)進行信息搜索。 舉例1： 首先打開，然后輸入“allinurl:login”； 我們選中其中的一個“http:/www.XXX.com/login.php” 打開； 搜索此站“site:XXX.com”

26、的二級域名網(wǎng)站； 看一下有沒有pdf電子文檔，“site:XXX.com filetype:pdf” ； 輸入“info:XXX.com”，查到該網(wǎng)站的基本信息。,一）使用搜索引擎,網(wǎng)絡(luò)層的主要攻擊-信息收集,3）info: 查找指定站點的基本信息。 4）inurl: 查找在url中包含搜索詞的網(wǎng)頁，例如：黑客慣用的“inurl:admin”偶爾就能搜索出網(wǎng)站的登錄頁面，從而進行下一步的攻擊。 5）link: 搜索與某網(wǎng)站做了鏈接的網(wǎng)頁，例如：輸入“l(fā)ink:”即可搜索出包含有鏈接到“”的網(wǎng)頁（這個可以用來找出有多少網(wǎng)頁在鏈接你的網(wǎng)站哦）。 6）site: 用于搜索某一域內(nèi)的網(wǎng)頁，例如：輸入“

27、site:”，即可實現(xiàn)在“”域內(nèi)搜索的目的。,網(wǎng)絡(luò)層的主要攻擊-信息收集,二、路由跟蹤,1）概念 路由跟蹤就是從本地開始到達(dá)某一目標(biāo)地址所經(jīng)過的路由設(shè)備，并顯示出這些路由設(shè)備的IP、連接時間等信息。 2）作用： 如果某段網(wǎng)絡(luò)不通或網(wǎng)速很慢，可以利用路由跟蹤找出某故障地點，方便維護人員的維護工作。 對于“黑客”來說，這是個很有用的功能，他可以大概分析出你所在網(wǎng)絡(luò)的狀況。這對于第一步的周邊網(wǎng)絡(luò)環(huán)境信息收集很有用。 3）tracert ：用IP生存時間TTL字段和ICMP錯誤消息來確定從一個主機到網(wǎng)絡(luò)上其他主機的路由。,網(wǎng)絡(luò)層的主要攻擊-信息收集,二、路由跟蹤 tracert,網(wǎng)絡(luò)層的主要攻擊-信息

28、收集,三、信息收集的主要工具,Ping 、fping、ping sweep ARP探測 Finger Whois DNS/nslookup 搜索引擎（google、百度） telnet,網(wǎng)絡(luò)層的主要攻擊-信息收集,四、Ping,用來判斷目標(biāo)是否活動； 最常用； 最簡單的探測手段； Ping 程序一般是直接實現(xiàn)在系統(tǒng)內(nèi)核中的，而不是一個用戶進程。,網(wǎng)絡(luò)層的主要攻擊-信息收集,四、Ping,原理,Type = 8,Type = 0,類型為8，表示“回響請求”,類型為0，表示“回響應(yīng)答”,主機在線情況,主機不應(yīng)答情況,1）主機不在線 2）防火墻阻斷ICMP探測,Ping實驗,表示192.168.1.

29、25機器不在線； 或者防火墻阻斷。,舉例2： Pingwar 2.0群ping,ARP探測,能探測同一局域網(wǎng)內(nèi)的主機，因為防火墻不能阻斷ARP請求。,whois,作用和特點,網(wǎng)絡(luò)服務(wù) 服務(wù)端口：tcp 43 服務(wù)端程序whoisd,客戶端程序finger 提供目標(biāo)系統(tǒng)的地址信息 參考網(wǎng)站1 參考網(wǎng)站2 /,常規(guī)信息收集,網(wǎng)絡(luò)域名,網(wǎng)絡(luò)Ip地址分配,使用單位,地址,網(wǎng)絡(luò)層的主要攻擊網(wǎng)絡(luò)掃描,主機發(fā)現(xiàn)技術(shù)主要分三種： ping掃描 ARP掃描 端口掃描,1.Ping 掃描,確定哪些機器是up的 2種方式 I

30、CMP 類似于ping，發(fā)送icmp消息給目標(biāo)，看是否有返回 TCP ping 給目標(biāo)特定的tcp端口(如常用的80)發(fā)送ack消息，如果返回rst，說明機器up。常用的tracetcp。,2. ARP掃描,ARP（Address Resolution Protocol）即地址解析協(xié)議，它是用于局域網(wǎng)內(nèi)的物理地址。ARP掃描是指通過向目標(biāo)主機發(fā)送ARP請求（查詢目標(biāo)主機的物理地址），如果目標(biāo)主機回應(yīng)一個ARP響應(yīng)報文，則說明它是存活的。下面是ARP掃描的示意圖：,3. 端口掃描,3.1 目的 判斷目標(biāo)主機開啟了哪些端口及其對應(yīng)的服務(wù) 確定目標(biāo)系統(tǒng)正在運行的TCP/UDP服務(wù) 在掃描時希望隱藏自

31、己 3.2 掃描基礎(chǔ) TCP數(shù)據(jù)報首部標(biāo)志域 TCP連接的建立過程 TCP連接的釋放過程 TCP/IP實現(xiàn)遵循的原則,常用服務(wù)端口如：21 FTP；23 Telnet ；25 SMTP ；80 HTTP； 8080 用于WWW代理服務(wù)，:8080 ；,常用服務(wù)端口漏洞,1） 8080端口 8080端口可以被各種病毒程序所利用，比如Brown Orifice（BrO）特洛伊木馬病毒可以利用8080端口完全遙控被感染的計算機。另外，RemoConChubo，RingZero木馬也可以利用該端口進行攻擊。 2）端口：21 最常見的攻擊者用于尋找打開anonymous的FTP服務(wù)器的方法。這些服務(wù)器帶

32、有可讀寫的目錄。木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的端口。,常用服務(wù)端口漏洞,3）端口：23 服務(wù)：Telnet 大多數(shù)情況下掃描這一端口是為了找到機器運行的操作系統(tǒng)。還有使用其他技術(shù)，入侵者也會找到密碼。木馬Tiny Telnet Server就開放這個端口。 4）端口：25 服務(wù)：SMTP 入侵者尋找SMTP服務(wù)器是為了傳遞他們的SPAM。入侵者的帳戶被關(guān)閉，他們需要連接到高帶寬的E-MAIL服務(wù)器上，將簡單的信息傳遞到不同的地址。木馬Antigen、Email Password Sender、Ha

33、ebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個端口。 5）端口：80 服務(wù)：HTTP 用于網(wǎng)頁瀏覽。木馬Executor開放此端口。,端口掃描分類技術(shù),端口掃描分類 掃描技術(shù)分析,掃描分類,TCP全連接,開放掃描,半開放掃描,TCP反向 ident掃描,IP頭信息 dumb掃描,SYN掃描,FIN掃描,隱蔽掃描,TCP分段,ACK掃描,XMAS掃描,空掃描,掃射掃描,SYN/ACK掃描,ping掃射,其它掃描,UDP/ICMP 不可達(dá),FTP彈跳,UDP掃射,UDPrecvfrom /write掃描,ACK掃射,SYN掃射,ICMP掃射,端口掃描工

34、具,Nmap Xscan SuperScan Shadow Security Scanner MS06040Scanner,Nmap探測工具王,功能 NMAP是探測網(wǎng)絡(luò)主機和開放服務(wù)的佼佼者。 -Linux版本 -Windows版本 秘密掃描、動態(tài)延遲和重發(fā)；欺騙掃描、端口過濾探測、分布掃描等。,xscan,選擇無條件掃描，才可以突破防火墻屏蔽ping，進行端口掃描。,Superscan速度之王,MS06040Scanner專用的漏洞掃描器,用于檢測目標(biāo)系統(tǒng)是否存在MS06040漏洞。,基于windows操作系統(tǒng)的攻擊,1.windows系統(tǒng)口令攻擊,口令攻擊主要采用以下幾種方法： 猜測攻擊

35、字典攻擊 窮舉攻擊 混合攻擊 直接破解系統(tǒng)口令文件 網(wǎng)絡(luò)嗅探(sniffer) 鍵盤記錄 中間人攻擊 社會工程學(xué),1.1 Windows操作系統(tǒng)的口令破解技術(shù),1.輸入法漏洞 windows2000 sp2之前的版本。 目前的Vista操作系統(tǒng)，極點五筆輸入法，也存在此類問題。 2.暴力破解SAM文件，一般使用工具LC 3.刪除SAM文件,SAM文件是WIN2000里面保存密碼信息的文件。,一般的編輯器是無法直接讀取這些信息的。注冊表中的 HKEY_LOCAL_MACHINESAMSAM HKEY_LOCAL_MACHINESECURITYSAM 保存的就是SAM文件的內(nèi)容，在正常設(shè)置下僅對s

36、ystem是可讀寫的。,1.2 設(shè)置系統(tǒng)策略保護口令,連接策略 問題： 默認(rèn)情況下系統(tǒng)沒有設(shè)置登錄的失敗次數(shù)限制，導(dǎo)致可以被無限制地嘗試連接系統(tǒng)管理的共享資源。 解決方法： 設(shè)置用戶的訪問策略，定義用戶登錄失敗達(dá)到一定次數(shù)時鎖定帳號，并限制管理員遠(yuǎn)程訪問。 如何實現(xiàn)？,在 “管理工具”中，選擇本地安全策略。 在本地安全策略中選擇“帳戶安全策略”，其中的“密碼策略”可以對密碼的長度、密碼的存留時間等方面進行設(shè)置。比如：在“密碼必須符合復(fù)雜性要求”的選項中，系統(tǒng)默認(rèn)是停用該功能，但推薦用戶在使用時將該功能開啟。 點擊“帳戶鎖定策略”，可以看到三個被選項，這里可以對帳戶的時間和帳戶無效訪問的次數(shù)進行

37、設(shè)置。此處，我們點擊“用戶鎖定閾值”點右鍵，選擇“安全性”，此處就可以對用戶無效訪問次數(shù)進行限制。 由于Administrator帳號的特殊性，Administrator帳號無法設(shè)置帳號鎖定，即使登錄失敗的次數(shù)達(dá)到設(shè)置時，該帳號也不可能被鎖住。因此除了系統(tǒng)默認(rèn)創(chuàng)建的Administrator帳號，還應(yīng)該創(chuàng)建至少一個具有管理員特權(quán)的帳號，并且，把默認(rèn)帳號Administrator改成另外一個名字。,2.IPC$入侵,2.1 什么是IPC IPC是英文Internet Process Connection的縮寫，即：命名管道，它是windows提供的一個通信基礎(chǔ)，用來在兩臺計算機進程之間建立通信連

38、接。 而IPC后面的$是windows系統(tǒng)所使用的隱藏符號，因此IPC$表示IPC共享，但是是隱藏的共享。默認(rèn)IPC是共享的。通過IPC連接，入侵者就能夠?qū)崿F(xiàn)遠(yuǎn)程控制目標(biāo)主機。,2.2 空會話（Null Session）攻擊,概念：Null會話是同服務(wù)器建立的無信任支持的會話。一個會話包含用戶的認(rèn)證信息，而Null會話是沒有用戶的認(rèn)證信息，也就好比是一個匿名的一樣。 作用：當(dāng)在多域環(huán)境中，要在多域中建立信任關(guān)系，首先需要找到域中的pdc來通過安全通道的密碼驗證，使用空會話能夠非常容易地找到pdc，還有就是關(guān)于一些系統(tǒng)服務(wù)的問題。而且Lmhosts的#include就需要空會話的支持。 攻擊過程

39、： 1). 用掃描軟件搜尋存在弱口令的主機比如流光，SSS，X-scan等，然后鎖定目標(biāo)，如果掃到了管理員權(quán)限的口令，假設(shè)現(xiàn)在得到了administrator的密碼為空,2). 然后，我們先建立起ipc$連接 net use ipc$ /user:administrator,3). 查看遠(yuǎn)程主機開了什么共享 net view ,注釋：聲明用net view命令無法看到默認(rèn)共享，因此通過上面返回的結(jié)果，并不能判斷對方是否開啟了默認(rèn)共享。,4).查看遠(yuǎn)程主機的時間 net time ,5). 得到遠(yuǎn)程主機的 netbios 用戶名列

40、表nbtstat -A ,Copy e:nc.exe 5c$ 上傳文件nc.exe到目標(biāo)地址的c盤,At 5 14:03 c:nc.exe 指定在目標(biāo)地址上在14:03執(zhí)行程序nc.exe,2.3 空會話攻擊的防御,有如下方法： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsarestrictanonymous。在Windows2000中將值改為“2”，表示限制所有的匿名訪問，除非明確許可。 禁止自動打開默認(rèn)共享。 對于Windows2000 Pro來說，修改HKEY_L

41、OCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters,把AUTOShareWks（DWORD）的鍵值該為00000000。如果主鍵不存在，就新建一個再修改鍵值。 server版:找到如下主鍵HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters把AutoShareServer（DWORD）的鍵值改為:00000000。,關(guān)閉ipc$和默認(rèn)共享依賴的服務(wù):server服務(wù) 操作：控制面板-管理工具-服務(wù)-找到server服務(wù)（右擊）

42、-屬性-常規(guī)-啟動類型-選已禁用 這時可能會有提示說：XXX服務(wù)也會關(guān)閉是否繼續(xù)，因為還有些次要的服務(wù)要依賴于lanmanserver，不要管它。 屏蔽139，445端口 由于沒有以上兩個端口的支持，是無法建立ipc$的，因此屏蔽139，445端口同樣可以阻止ipc$入侵。 注意：如果屏蔽掉了以上兩個端口，你將無法用ipc$入侵別人。 設(shè)置復(fù)雜密碼，防止通過ipc$窮舉出密碼,應(yīng)用層的主要攻擊,基于windows操作系統(tǒng)的攻擊防御,3.2 NTFS權(quán)限設(shè)置,4文件系統(tǒng)加密與保護,4.1文件系統(tǒng)加密,4.2 文件系統(tǒng)保護,Windows2000提供了兩種方式對系統(tǒng)文件進行保護，一種是瀏覽保護，一

43、種是文件保護。 瀏覽保護 文件保護 “Windows文件保護”能阻止替換受保護的系統(tǒng)文件，這些受保護的文件包括.sys、.dll、.exe、.ttf等系統(tǒng)文件。,Windows2000的安全設(shè)置可以大致分為用戶安全設(shè)置、密碼安全設(shè)置、系統(tǒng)安全設(shè)置、服務(wù)安全設(shè)置四個方面。 用戶安全設(shè)置 禁用Guest帳號。 限制不必要的用戶。 創(chuàng)建兩個管理員帳號。 把系統(tǒng)Administrator賬號改名。 把共享文件的權(quán)限從Everyone組改成授權(quán)用戶。 開啟用戶策略。 不讓系統(tǒng)顯示上次登錄的用戶名。,Windows2000的安全設(shè)置,密碼安全設(shè)置 使用安全密碼。 設(shè)置屏幕保護密碼。 開啟密碼策略。 系統(tǒng)安

44、全設(shè)置 使用NTFS格式分區(qū)。 運行防毒軟件。 關(guān)閉默認(rèn)共享。 鎖住注冊表。 利用Windows 2000的安全配置工具來配置安全策略。,服務(wù)安全設(shè)置 關(guān)閉不必要的端口。 設(shè)置好安全記錄的訪問權(quán)限。 禁止建立空連接。,腳本攻擊與防御,1 SQL注入技術(shù),什么是SQL注入技術(shù)？ SQL注入即是指攻擊者通過在應(yīng)用程序中預(yù)先定義好的查詢語句結(jié)尾加上額外的SQL語句元素，欺騙數(shù)據(jù)庫服務(wù)器執(zhí)行非授權(quán)的任意查詢。,dim rs admin1=request(admin) password1=request(password) set rs=server.CreateObject(ADODB.RecordS

45、et) rs.open select * from admin where admin= response.writejavascript:history.go(-1) response.end else session(admin)=rs(admin) session(password)=rs(password) session(aleave)=rs(aleave) response.redirect admin.asp end if rs.close set rs=nothing,一個經(jīng)典的SQL注入漏洞,分析,在用戶名和密碼那里都填入 OR = ， SQL語句被構(gòu)造成 select *

46、from admin where admin= OR = and password= OR = 意思是當(dāng)admin為空或者空等于空，password為空或者空等于空的時候整個查詢語句就為真。,如何來修補漏洞？,過濾掉其中的特殊字符。 這里我們就過濾掉其中的單引號“”，即是把程序的頭兩行改為： admin1=replace(trim(request(admin),) password1=replace(trim(request(password),),3 跨站腳本攻擊技術(shù),什么是跨站腳本攻擊？ 跨站腳本攻擊（XSS，又稱作CSS）指的是惡意攻擊者向Web頁面里插入惡意html代碼，當(dāng)用戶瀏覽該頁

47、之時，嵌入其中Web頁面的html代碼會被執(zhí)行，從而達(dá)到惡意用戶的特殊目的。屬于被動攻擊。 數(shù)據(jù)流程： 惡意用戶的Html輸入web程序進入數(shù)據(jù)庫web程序用戶瀏覽器,跨站Script攻擊方式,動態(tài)輸入大致有四種形式： URL參數(shù) 表格元素 Cookie 數(shù)據(jù)請求 （由于程序代碼較多，?。?惡意代碼,1 概述,什么是惡意代碼？ 惡意代碼是指獨立的程序或者嵌入到其它程序中的代碼，它在不被用戶察覺的情況下啟動，達(dá)到破壞電腦安全性和完整性的目的。 惡意代碼的分類 木馬、rootkit、病毒、蠕蟲和網(wǎng)頁惡意代碼,Rootkit是一種特殊的惡意軟件，它的功能是在安裝目標(biāo)上隱藏自身及指定的文件、進程和網(wǎng)絡(luò)

48、鏈接等信息，比較多見到的是Rootkit一般都和木馬、后門等其他惡意程序結(jié)合使用。Rootkit通過加載特殊的驅(qū)動，修改系統(tǒng)內(nèi)核，進而達(dá)到隱藏信息的目的。,蠕蟲與病毒的區(qū)別,蠕蟲指的是能夠在網(wǎng)絡(luò)上完全地復(fù)制自身的獨立可執(zhí)行代碼。蠕蟲技術(shù)融合了自復(fù)制技術(shù)、掃描技術(shù)以及緩沖區(qū)溢出等攻擊技術(shù)。著名的蠕蟲有1988 年的Morris 蠕蟲、2001 年的Code-Red 蠕蟲、2003 年的SQL Slammer 蠕蟲和Blaster 蠕蟲、2004 年的Sasser 蠕蟲等。 病毒需要宿主程序通過某種方式將其激活。目前的病毒也逐漸融入將一些網(wǎng)絡(luò)攻擊的技術(shù)，如著名的Nimda 病毒通過電子郵件、共享目錄以及主動攻擊IIS 緩沖區(qū)溢出漏洞等形式達(dá)到廣泛傳播的效果。,特洛伊木馬,特洛伊木馬的來歷,希臘人攻打特洛伊城十年，始終未獲成功，后來建造了一個大木馬，并假裝撤退，希臘將士卻暗藏于馬腹中。特洛伊人以為希臘人已走，就把木馬當(dāng)作是獻(xiàn)給雅典娜的禮物搬入城中。晚上，木馬中隱藏的希臘將士沖出來打開城門，希臘將士里應(yīng)外合毀滅了特洛伊城。后來我們把進入敵人內(nèi)部攻破防線的手段叫做木馬計，木馬計中使用的里應(yīng)外合的工具叫做特洛伊木馬,來源于希臘神話中的特洛伊戰(zhàn)爭,特洛伊木馬,屬于客戶/服務(wù)模式。（遠(yuǎn)程控制） 客戶端：主控端，向服務(wù)器發(fā)送連接請求。 服務(wù)端：被控端，提供服務(wù)